我有一個來自 Aruba 控制器的用於 RADIUS 的 NPS 伺服器。計費和身份驗證日誌記錄已開啟並正在工作,除了當因密碼錯誤而登入失敗時。
安全日誌
所有身份驗證嘗試都可以在伺服器上的安全事件日誌中看到。
任務類別是登入或網路原則伺服器。如果類別是網頁原則伺服器,原因代碼已指定,8 表示錯誤的用戶名,7 表示錯誤的網域,等等
。
錯誤密碼
錯誤密碼嘗試會以登入任務類別記錄在安全性事件日誌中。
它們不會顯示在 NPS 日誌中,但事件會顯示不是列出 MAC 位址。
登入失敗事件ID為6273;我的“原因代碼”不是在日誌中看到是 16,使用者憑證不符。
我使用同一台控制器從同一台裝置(我的手機)測試了錯誤的密碼和錯誤的使用者名稱。
連線請求策略/網路策略
我認為登入處理的順序在某種程度上很重要,但我不知道在哪裡。
我們有一個連接請求策略來使用 Windows 身份驗證,並將身份驗證提供者作為本機電腦(這不是網域控制站)。
我們有多個網路策略,其中申請無線的網路策略位於清單中的第一個。
我認為錯誤密碼登入失敗是「無法成功」進入 NPS 層,但為什麼不呢?為什麼這一層會處理錯誤的用戶名,但不會處理錯誤的密碼?登入的處理方式有何不同? (差別不就是DC的回傳碼不同嗎?)
編輯:經過更多調查後,安全事件日誌中似乎在 6278(NPS 授予完全存取權限)之前有一個 4624(成功登入)條目成功的連接。因此看來帳戶必須透過此初始(網路)登入。
但是,對於“錯誤的用戶名”,我相信這些會在網路策略條件中被過濾。目前(除其他外)條件之一是帳戶必須位於網域使用者中。這是不對對於錯誤的使用者名稱。
不管怎樣,我不確定為什麼 NPS 不會處理錯誤的密碼嘗試,因為它應該是無效的約束在那時候。